FC2ブログ

【LPIC_301試験】■3. 設定

■3. 設定
 ▼1. LDAPにおけるアクセス制御リスト
  【アクセス制御】(/etc/openldap/slapd.conf)
ディレクティブ大項目設定項目内容覚え方・コメント
accessアクセス対象*全エントリエントリ=
LDAPは物を管理する。その管理単位のこと
dn
(識別名)
指定エントリ 
attrs
(属性名)
指定属性 
filter
(検索)
検索フィルタにヒットするエントリ 
要求ユーザ*全接続ユーザ 
anonymous匿名ユーザ 
users認証されたユーザ 
self認証したエントリ自身の接続 
dn
(識別名)
指定識別名の接続 
アクセス権noneアクセス不可 
auth認証可能 (バインド可能) 
compare比較可能 (プラス、auth権限付与)compare=比較
search検索可能 (プラス、compare権限付与) 
read値参照可能 (プラス、search権限付与) 
write値更新可能 (プラスread権限付与) 
 ▼2. LDAPレプリケーション
  【Syncレプリケーション(syncrepl)】(/etc/openldap/slapd.conf)
レプリケーション=冗長
OpenLDAP2.4からはLDAP Syncレプリケーションのみサポート
大項目ディレク
ティブ
設定項目内容覚え方・コメント
syncreplプロバイダ側overlay
[オーバーレイ名]
オーバレイ指定オーバーレイ=表面を覆う
syncprov-checkpoint
 [数] [分]
contextCSNをDBに書き込む頻度の設定contextCSN=
サーバ更新状態を保持する値
syncprov-sessionlog
 [数]
セッションログの最大エントリ数 
ユーザ側syncrepl=RID
    provider=ldap[s]://[ホスト名](:ポート)
   [
bindmethod
=認証方法]
  [binddn=バインドDN]
  [
credentials
=
  バインドDNパスワード]
  [type=refreshOnly | refreshAndPresist]
   [searchbase=ベースDN]
複製ID、プロバイダIPアドレスの指定credentials=資格
複製IDは、0~999の数字

資格が無ければ、パスワード指定できない

bindmethod ○○(○○を答えよ)
slurpd:LDAPサーバの更新履歴(レプリログファイル)を読み込み、スレーブサーバに更新情報を送信するデーモン
★replica系のコマンドが多い
大項目中項目設定項目内容覚え方・コメント
slurpdデーモンの設定マスタサーバ側replogfile [ファイル名]レプリケーションログファイル指定 
replica url=ldap[s]://[ホスト名](:ポート) | host=[ホスト名](:ポート)
   [suffix=ベースDN]
  [
bindmethod
=認証方法]
  [binddn=バインドDN]
  [credentials=
  バインドDNパスワード]
バインドDN・スレーブサーバIPアドレス等を指定。referral=照会
バインドDNは、スレーブサーバ側のupdatednディレクティブ値とマッチさせる必要がある

bindmethod ○○(○○を答えよ)
スレーブサーバ側updatedn [バインドDN]複製許可するバインドDNを指定なんで「update」?
updateref [マスタサーバURL]マスターサーバ指定 
slurpdデーモン
起動コマンド
オプション-d [整数]
(debug)
デバッグレベル指定 
-f [ファイル名]
(file)
設定ファイル指定/etc/openldap
/slapd.conf
-r [ファイル名]
(replication)
レプリケーションログファイル指定 
-o
(one)
ワンショットモードで起動「-r」オプションと一緒に使う
slurpd は複製ログを処理するとすぐに終了する
-t [ディレクトリ]
(task)
作業ディレクトリ指定 
 ▼3. ディレクトリのセキュリティ
  【簡易認証】(/etc/openldap/slapd.conf)
大項目ディレク
ティブ
設定項目内容覚え方・コメント
簡易認証allow-許可する簡易認証機能を指定 
bind_anon_cred匿名バインドを許可
(DNが未指定のとき)
 
bind_anon_dn非認証バインドを許可
(DN指定のとき)
 
disallow-拒否する簡易認証機能を指定 
bind_anon匿名バインドを拒否シンプルな表現だと拒否
珍しい「disallow」の表現
bind_simple簡易認証の拒否 
SASLsasl-host [ホスト名]-SASLを処理するホストの指定SASL(Simple Authentication and Security Layer)
=認証とセキュリティのフレームワーク
sasl-realm [範囲]-SASLレルム(範囲)の指定
(デフォルトはnull)
realm=範囲
authz-regexp[認証要求DN] [DIT上DN]認証要求DNをDIT上のDNにマッピングregexp=正規表現
なんで「z」が付くの?
SSL/TLS関連TLSCACertificateFileファイル名CA証明書指定 
TLSCertificateFileファイル名サーバ証明書指定 
TLSCertificateKeyFileファイル名サーバ証明書に紐づく秘密鍵の指定 
TLSCipherSuite 暗号方式暗号方式指定指定席
TLSVerifyClient-クライアント証明書の処理を指定 
never要求しないデフォルト
allow無くても○
(認証に失敗しても許可する)
allowだから緩い設定
try無くても○
(認証に失敗したら拒否する)
試させるだけあって厳しい
demand必須demand=要求
インデックス/
キャッシュ関連
index [属性]pres
(presence)
存在インデックス
(属性が存在するエントリ検索用)
presence=存在
eq
(equal)
等価インデックス
(属性値が完全に一致するエントリ検索用)
 
approx近似インデックス
(属性値が近いエントリ検索用)
approx=近似の
sub部分文字列インデックス
(属性値の一部が一致するエントリ検索用)
sub=補欠
cachesize [数] メモリキャッシュするエントリ数指定デフォルト1000
idlcachesize [数] メモリキャッシュするインデックス数指定デフォルト0
アイドルっぽい、メモリインデックス
インデックス作成slapindex「slapd.conf」ファイルで設定したインデックスを作成 
データベースdatabase [種類] バックエンドDBの種類指定 
suffixDNディレクトリ名のトップDNを指定suffix=付け加える
rootdnDNDB管理者のDNを指定管理者=root
rootpw[パスワード]DB管理者のパスワード指定管理者=root
index[属性名] [種類]属性に作成するインデックスの種類を指定 
directory[ディレクトリ名]DBファイルを格納するディレクトリ指定 
グローバル
セクション
argsfile[ファイル名]slapdデーモン起動時のコマンド引数を格納するファイル指定するarg=引数
pidfile[ファイル名]slapdのpidを格納するファイルを指定 
include[ファイル名]読み込む設定ファイル指定 
loglevel[数値]ログレベル指定 
ログ収集データ 
1trace function calls 
2debug packet handling 
4heavy trace debugging 
8connection management 
16print out packets sent and received 
32search filter processing 
64configuration file processing 
128access control list processing 
256stats log connections/operations/results 
512stats log entries sent 
1024print communication with shell backends 
2048entry parsing 
idletimeout[秒数]アイドル状態のタイムアウトアイドルだけ、「out」
timelimit[秒数]slapdが検索要求の応答のタイムアウト 
sizelimit  検索操作から返すエントリの最大数デフォルトのサイズ制限は 500 
636ポート: OpenLDAPのSSL通信
389ポート: StartTLS拡張操作、非暗号化セッションで使用する
 ▼4. LDAPサーバのパフォーマンスチューニング
  【データベース】
大項目中項目小項目内容覚え方・コメント
データベースBerkeleyDBdb_stat環境情報表示設定ファイル=
DB_CONFIG
設定ファイル=
DB_CONFIG
set_cachesize [ギガバイト] [バイト] [分割数]バッファキャッシュするサイズ指定。このサイズは、ギガバイトとバイトの合計を、分割数で分割して、メモリ領域を確保している
set_lg_bsize [バイト]ログバッファサイズをバイト単位で指定するバッファサイズだから、「bsize」
set_lg_max [バイト]トランザクションログファイルサイズをバイト単位指定トランザクション=分けられない一連の情報単位
set_lg_regionmax [バイト]DBファイル名をキャッシュする最大サイズをバイト単位で指定するregion=領域
DBだから、「領域」?
 ▼5. OpenLDAPデーモンの設定
   slapdコマンド
用途コマンドオプション内容覚え方・コメント
LDAP起動slapd-4IPv4のIPアドレスのみ受け付け 
-6IPv6のIPアドレスのみ受け付け 
-d [数値]
(debug)
デバッグレベル指定 
-f [ファイル名]
(file)
設定ファイル名指定 
-u [ユーザ名]slapdを起動するユーザを指定 
-g [グループ名]
(group)
slapdを起動するグループを指定 
-r [ディレクトリ名]
(root)
ルートディレクトリを指定 
 
関連記事

コメント

非公開コメント

FC2-Counter (Since 2013/8)